تستهدف دودة القمر أجهزة التوجيه الرئيسية من لينك

تقوم الدودة ذاتية التكرار باستغلال ثغرة تجاوز مصادقة في أجهزة Linksys المنزلية وأجهزة الأعمال الصغيرة. إذا كان لديك أحد أجهزة التوجيه من الفئة E ، فأنت في خطر.

كتب الباحثون على مدونة معهد SANS على الإنترنت في معهد SANS ، الأسبوع الماضي ، أن الدودة ، التي أطلق عليها اسم "The Moon" بسبب الإشارات القمرية في الكود ، لا تفعل الكثير في الوقت الحالي إلى أبعد من البحث عن أجهزة التوجيه الضعيفة الأخرى وتقوم بعمل نسخ من نفسها. من غير الواضح في هذا الوقت ما هي الحمولة النافعة أو ما إذا كانت تتلقى أوامر من خادم الأوامر والتحكم.

وكتب يوهانس أولريتش ، كبير مسؤولي التكنولوجيا في SANS ، في منشور بالمدونة "في هذه المرحلة ، نحن على دراية بالديدان التي تنتشر بين مختلف نماذج أجهزة توجيه Linksys". "ليس لدينا قائمة محددة من أجهزة التوجيه التي تكون عرضة للإصابة بهجمات الفيروسات ، ولكن قد تكون أجهزة التوجيه التالية عرضة للتأثر وفقًا لإصدار البرامج الثابتة: E4200 و E3200 و E3000 و E2500 و E2100L و E2000 و E1550 و E1500 و E1200 و E1000 و E900." هناك تقارير تفيد بأن أجهزة التوجيه E300 و WAG320N و WAP300N و WES610N و WAP610N و WRT610N و WRT400N و WRT600N و WRT320N و WRT120N و WRT160N و WRT150N هي أيضًا عرضة للإصابة.

وكتبت Belkin ، الشركة التي اشترت علامة Linksys من Cisco العام الماضي ، "إن Linksys على دراية بالبرنامج الضار الذي يدعى The Moon والذي أثر على بعض أجهزة توجيه Linksys القديمة من سلسلة Linksys وحدد نقاط الوصول وأجهزة التوجيه اللاسلكية Wireless-N الأقدم". بريد. تم التخطيط لإصلاح البرنامج الثابت ، لكن لا يوجد جدول زمني محدد متاح في هذا الوقت.

هجمات القمر

بمجرد تشغيل جهاز التوجيه الضعيف ، يتصل فيروس worm Moon بالمنفذ 8080 ويستخدم بروتوكول إدارة الشبكة المنزلية (HNAP) لتحديد البرامج الثابتة لجهاز التوجيه للخطر. ثم يستغل البرنامج النصي CGI للوصول إلى جهاز التوجيه دون المصادقة والمسح بحثًا عن الصناديق المعرضة للخطر. تشير تقديرات SANS إلى إصابة أكثر من 1000 جهاز توجيه Linksys بالفعل.

لقد تم بالفعل نشر دليل على مفهوم استهداف الثغرة الأمنية في البرنامج النصي CGI.

وقال أولريش: "هناك حوالي 670 نطاقًا مختلفًا من عناوين IP يقوم بمسحها بحثًا عن أجهزة توجيه أخرى. يبدو أنهم ينتمون جميعًا إلى مودم كبل مختلف ومزودي خدمة DSL. يتم توزيعهم إلى حد ما في جميع أنحاء العالم".

إذا لاحظت إجراء مسح ضوئي خارجي كثيف في المنفذين 80 و 8080 والاتصالات الواردة على منافذ متنوعة تقل عن 1024 ، فقد تكون مصابًا بالفعل. إذا قمت بتكرار اختبار "GET / HNAP1 / HTTP / 1.1 \ r \ n المضيف: اختبار \ r \ n \ r \ n" "nc routerip 8080 والحصول على إخراج XML HNAP ، فمن المحتمل أن يكون لديك جهاز توجيه ضعيف ، على حد قول أولريتش.

الدفاعات ضد القمر

إذا كان لديك أحد أجهزة التوجيه الضعيفة ، فهناك بعض الخطوات التي يمكنك اتخاذها. قال أولريش إنه أولاً وقبل كل شيء ، لا يتم كشف أجهزة التوجيه التي لم يتم تكوينها للإدارة عن بُعد. لذلك إذا لم تكن بحاجة إلى الإدارة عن بُعد ، فأوقف تشغيل "الوصول للإدارة عن بُعد" من واجهة المسؤول.

إذا كنت بحاجة إلى إدارة عن بعد ، فقم بتقييد الوصول إلى الواجهة الإدارية عن طريق عنوان IP حتى لا تتمكن الدودة من الوصول إلى جهاز التوجيه. يمكنك أيضًا تمكين تصفية طلبات الإنترنت المجهولة ضمن علامة التبويب إدارة الأمن. وقال أولريش ، بما أن الدودة تنتشر عبر المنفذ 80 و 8080 ، فإن تغيير المنفذ لواجهة المسؤول سيجعل من الصعب على الدودة العثور على جهاز التوجيه.

تعد أجهزة التوجيه المنزلية أهدافًا هجومية شائعة ، نظرًا لأنها عادةً ما تكون من الموديلات القديمة ولا يظل المستخدمون دائمًا على قمة تحديثات البرامج الثابتة. على سبيل المثال ، اخترق مجرمو الإنترنت مؤخرًا أجهزة التوجيه المنزلية وغيروا إعدادات نظام أسماء النطاقات لاعتراض المعلومات المرسلة إلى مواقع الخدمات المصرفية عبر الإنترنت ، وفقًا لتحذير صدر في وقت سابق من هذا الشهر من فريق الاستجابة لحالات طوارئ الكمبيوتر البولندية (CERT Polska).

يقترح Belkin أيضًا التحديث إلى أحدث البرامج الثابتة لتوصيل أي مشكلات أخرى قد لا يتم إصلاحها.